diff --git a/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx b/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx new file mode 100644 index 000000000..f2cffe8c5 Binary files /dev/null and b/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx differ diff --git a/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md b/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md index 9b2e1e6ff..870f1ec68 100644 --- a/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md +++ b/docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md @@ -1,74 +1,96 @@ -# Pré-requis DSI - intégration DGX Spark POC Léa +# Pré-requis techniques DSI - intégration DGX Spark POC agent **Date** : 2026-06-01 **Objet** : pré-requis réseau, sécurité et exploitation pour intégrer un NVIDIA DGX Spark dans l'environnement clinique. -**Projet** : POC Léa / RPA Vision V3 - apprentissage par démonstration et assistance visuelle aux postes TIM. -**Interlocuteur technique projet** : Dom Bazin. +**Projet** : RPA Vision V3 - serveur d'inférence, supervision et coordination d'agents de poste Windows. +**Interlocuteur technique projet** : Dominique Bazin. --- -## 1. Résumé +## 1. Synthèse technique -Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC Léa. +Le DGX Spark sera installé **sur site**, dans le réseau de la clinique, pour héberger les services serveur du POC. -Les postes utilisateurs restent des **PC Windows existants** sur lesquels le client Léa est installé. Ces postes communiquent avec le DGX en HTTPS sur le LAN clinique. +Les postes utilisateurs restent des **PC Windows existants**. Un agent poste Windows y est installé et communique avec le DGX en HTTPS sur le LAN clinique. -Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit les APIs, le dashboard de supervision, le streaming agent et l'inférence visuelle. +Le DGX ne remplace pas les postes utilisateurs et n'exécute pas de capture/clic local. Il fournit : +- les APIs applicatives ; +- le dashboard d'administration et de supervision ; +- le service de streaming des agents ; +- l'inférence visuelle locale. + +Tous les services applicatifs sont prévus en containers Docker. --- -## 2. Architecture attendue +## 2. Architecture réseau attendue ```text -Postes TIM Windows + client Léa +Postes Windows équipés d'un agent | | HTTPS TCP 443 - LAN clinique v DGX Spark on-premise | +-- reverse proxy HTTPS - +-- dashboard supervision - +-- API backend RPA + +-- dashboard administration / supervision + +-- API backend applicative +-- API streaming agents - +-- inference VLM locale (Ollama), non exposée au LAN + +-- moteur d'inférence local, non exposé au LAN ``` -Tous les services applicatifs DGX sont prévus en containers Docker. L'inférence IA reste locale au DGX. +Le moteur d'inférence reste accessible uniquement par les services locaux du DGX. --- -## 3. Besoins matériels et réseau local +## 3. Services hébergés + +| Service | Port interne indicatif | Exposition attendue | +|---|---:|---| +| Reverse proxy HTTPS | 443 | LAN clinique | +| Dashboard administration / supervision | 5001 | Via reverse proxy HTTPS | +| Backend applicatif | 5002 | Via reverse proxy HTTPS | +| Streaming agents | 5005 | Via reverse proxy HTTPS | +| Moteur d'inférence local | 11434 | Interne DGX uniquement | + +Les ports internes ne doivent pas être exposés directement au LAN. L'exposition applicative passe par le reverse proxy HTTPS. + +--- + +## 4. Besoins matériels et réseau local | Élément | Besoin | |---|---| | Emplacement | Salle technique ou zone contrôlée | | Alimentation | Prise standard, prévoir environ 300 W en pointe | -| Réseau | Ethernet filaire, Wi-Fi désactivé en clinique | +| Réseau | Ethernet filaire | +| Wi-Fi | Désactivé en environnement clinique sauf demande DSI contraire | | Adresse IP | 1 IP fixe ou réservation DHCP par MAC | -| Hostname souhaité | `rpa-spark-01` ou nom conforme à la convention DSI | -| DNS interne | Résolution du hostname depuis les postes TIM | +| Hostname souhaité | `rpa-spark-01` ou nom conforme à la nomenclature DSI | +| DNS interne | Résolution du hostname depuis les postes utilisateurs et postes d'administration | | NTP | Accès à un serveur NTP clinique ou autorisé | -| VLAN | À confirmer par la DSI : VLAN postes de travail ou VLAN dédié POC | +| VLAN | À confirmer par la DSI : VLAN poste, serveur ou VLAN dédié POC | La MAC du DGX sera communiquée lors de l'installation physique. --- -## 4. Flux entrants demandés +## 5. Flux entrants demandés | Source | Destination | Port | Protocole | Usage | |---|---|---:|---|---| -| Postes TIM pilotes | DGX Spark | 443 | TCP HTTPS | Client Léa, dashboard, API streaming | -| Postes admin autorisés ou VPN DSI | DGX Spark | 22 | TCP SSH | Maintenance admin, optionnel | +| Postes Windows équipés | DGX Spark | 443 | TCP HTTPS | API agent, streaming, accès applicatif | +| Postes d'administration autorisés | DGX Spark | 443 | TCP HTTPS | Accès dashboard | +| Réseau d'administration validé par la DSI | DGX Spark | 22 | TCP SSH | Administration système, optionnel | Notes : - aucun port entrant depuis Internet n'est demandé ; -- le port SSH peut être limité au VPN DSI ou supprimé si un autre mode d'administration est retenu ; -- les ports internes applicatifs ne sont pas exposés directement au LAN. +- l'accès SSH peut être limité au réseau d'administration DSI, à un VPN DSI, ou supprimé si une autre procédure d'administration est retenue ; +- les ports internes applicatifs restent non exposés directement. --- -## 5. Flux sortants demandés +## 6. Flux sortants demandés Flux sortants utiles pour installation, mises à jour, images Docker et modèles IA. @@ -79,64 +101,68 @@ Flux sortants utiles pour installation, mises à jour, images Docker et modèles | `ports.ubuntu.com`, `security.ubuntu.com`, `archive.ubuntu.com` | 80, 443 | Mises à jour Ubuntu | | `developer.download.nvidia.com`, `apt.nvidia.com` | 443 | Pilotes / CUDA NVIDIA | | `registry-1.docker.io`, `auth.docker.io`, `index.docker.io` | 443 | Images Docker | -| `registry.ollama.ai` | 443 | Modèles Ollama | -| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA HuggingFace | +| `registry.ollama.ai` | 443 | Modèles d'inférence | +| `huggingface.co`, `cdn-lfs.huggingface.co` | 443 | Modèles IA | | `github.com`, `objects.githubusercontent.com`, `raw.githubusercontent.com` | 443 | Déploiement / mises à jour applicatives | | `pypi.org`, `files.pythonhosted.org` | 443 | Dépendances Python | -Ces flux peuvent être ouverts temporairement pour installation puis restreints selon la politique DSI. +Ces flux peuvent être ouverts temporairement pour l'installation puis restreints selon la politique DSI. --- -## 6. Accès administrateur distant +## 7. Accès d'administration -Option recommandée : +### 7.1 Dashboard web -| Option | Description | +| Élément | Pré-requis | |---|---| -| OpenVPN clinique + SSH par clé | Dom accède au LAN via VPN fourni/validé par la DSI, puis SSH par clé sur le DGX. | +| URL | URL interne à définir, par exemple `https://rpa-spark-01.[domaine interne]/` | +| Port | 443 HTTPS via reverse proxy | +| Sources autorisées | Postes d'administration ou réseau d'administration validés par la DSI | +| Authentification | Authentification applicative et/ou restriction réseau, à valider avec la DSI | +| Exposition Internet | Aucune | +| Usage | Supervision, état des agents, téléchargement d'installateurs, suivi des services, configuration opérationnelle | -Options de repli si la DSI préfère : +À prévoir côté DSI : +- définir qui peut accéder au dashboard ; +- valider le nom DNS interne ; +- valider le certificat TLS interne ou le mode de certificat accepté ; +- décider si l'accès dashboard est limité à un VLAN, à des postes admin, ou à un accès distant DSI. -| Option | Description | +### 7.2 Administration système + +| Élément | Pré-requis | |---|---| -| Reverse SSH vers bastion Dom | Le DGX initie un tunnel sortant vers un bastion contrôlé par Dom. Aucun flux entrant Internet côté clinique. | -| Tailscale | Mesh VPN sortant, uniquement si validé par la DSI. | +| Protocole | SSH | +| Port | 22 TCP, si autorisé | +| Source | Réseau d'administration ou accès distant validé par la DSI | +| Authentification | Clé SSH uniquement | +| Root direct | Désactivé | +| Compte admin | Compte nominatif à définir avec la DSI | +| Journalisation | Logs SSH et sudo conservés localement | Principes : - pas de SSH par mot de passe ; - pas de root direct ; -- compte admin nominatif ; - activité admin journalisée ; - accès supprimable en fin de POC ou sur demande DSI. --- -## 7. Sécurité et données +## 8. Sécurité et données -Principes POC : +Principes techniques : - déploiement 100 % on-premise ; - pas d'exposition publique Internet ; - inférence IA locale au DGX ; - aucun modèle IA externe appelé pour traiter les écrans utilisateurs ; - logs et données techniques conservés localement sur le DGX ; +- chiffrement disque ou partition de données à valider avec la DSI ; - politique de rétention à valider avec la DSI / DPO avant mise en service. -Point à arbitrer avant production POC : -- Léa apprend par démonstration, ce qui peut nécessiter de conserver localement des traces techniques de session pendant une durée limitée. -- La durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être fixés avec la DSI/DPO avant exploitation sur données réelles. - ---- - -## 8. Périmètre pilote - -| Élément | Valeur cible | -|---|---| -| Durée POC | 3 mois, ajustable | -| Utilisateurs pilotes | Jusqu'à 5 TIM | -| Postes équipés | PC Windows existants + client Léa | -| Serveur POC | 1 DGX Spark on-premise | -| Arrêt POC | Retrait possible à tout moment | +Point technique à arbitrer : +- le mode apprentissage peut produire des traces techniques locales de session pendant une durée limitée ; +- la durée de rétention, le niveau d'anonymisation et les modalités d'effacement doivent être validés avant exploitation sur données réelles. --- @@ -145,22 +171,26 @@ Point à arbitrer avant production POC : - [ ] Confirmer le VLAN d'accueil. - [ ] Réserver l'adresse IP ou valider l'IP statique. - [ ] Créer l'entrée DNS interne. +- [ ] Valider le certificat TLS ou la politique de certificat interne. - [ ] Valider les flux entrants : 443, et 22 si SSH autorisé. - [ ] Valider les flux sortants nécessaires à l'installation. -- [ ] Choisir le mode d'accès admin distant. +- [ ] Définir les sources autorisées pour le dashboard. +- [ ] Définir le mode d'accès d'administration distant. - [ ] Confirmer la politique antivirus / EDR applicable. -- [ ] Confirmer la politique de rétention des traces POC. -- [ ] Identifier le référent DSI et le référent TIM pour le test J+0. +- [ ] Confirmer la politique de rétention des traces techniques. +- [ ] Identifier le référent DSI pour le test de raccordement. --- ## 10. Questions ouvertes 1. VLAN souhaité pour le DGX : poste de travail, serveur, ou VLAN dédié POC ? -2. OpenVPN clinique disponible pour Dom, ou autre mode d'accès admin préféré ? -3. Politique EDR/antivirus imposée sur Ubuntu/DGX ? -4. Rétention acceptée pour les traces d'apprentissage locales au DGX ? -5. Nom DNS interne final du DGX ? +2. Quel mode d'accès distant la DSI souhaite-t-elle utiliser pour l'administration système ? +3. Quels postes ou sous-réseaux peuvent accéder au dashboard ? +4. Quelle politique TLS interne appliquer au reverse proxy ? +5. Politique EDR/antivirus imposée sur Ubuntu/DGX ? +6. Rétention acceptée pour les traces techniques locales au DGX ? +7. Nom DNS interne final du DGX ? --- diff --git a/docs/coordination/inbox_claude/2026-06-01_1103_codex-to-claude_INFO-doc-DSI-revision-strictement-technique.md b/docs/coordination/inbox_claude/2026-06-01_1103_codex-to-claude_INFO-doc-DSI-revision-strictement-technique.md new file mode 100644 index 000000000..4618b410c --- /dev/null +++ b/docs/coordination/inbox_claude/2026-06-01_1103_codex-to-claude_INFO-doc-DSI-revision-strictement-technique.md @@ -0,0 +1,23 @@ +# Codex -> Claude - INFO revision document DSI strictement technique + +Claude, + +Dom a relu le document DSI minimal et a demande une revision stricte: +- ne pas mentionner Lea, mais "agent"; +- utiliser Dominique Bazin, pas Dom; +- ne pas citer OpenVPN, garder "VPN/acces distant valide DSI" generique; +- supprimer le perimetre fonctionnel et toute mention couverte par la convention signee; +- rester strictement technique; +- expliciter l'acces dashboard et l'administration systeme. + +Document revise: +- Markdown: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md` +- Word: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx` + +Controle Codex: +- DOCX valide; +- 13 tableaux; +- aucun "Lea/Léa", "Dom", "OpenVPN", "perimetre/périmètre", "TIM", "3 mois" dans le texte extrait; +- LibreOffice absent dans l'environnement, donc pas de rendu PDF visuel local. + +Merci d'utiliser uniquement cette version revisee pour les echanges DSI. diff --git a/docs/coordination/inbox_qwen/2026-06-01_1103_codex-to-qwen_INFO-doc-DSI-revision-strictement-technique.md b/docs/coordination/inbox_qwen/2026-06-01_1103_codex-to-qwen_INFO-doc-DSI-revision-strictement-technique.md new file mode 100644 index 000000000..4f78790f7 --- /dev/null +++ b/docs/coordination/inbox_qwen/2026-06-01_1103_codex-to-qwen_INFO-doc-DSI-revision-strictement-technique.md @@ -0,0 +1,23 @@ +# Codex -> Qwen - INFO revision document DSI strictement technique + +Qwen, + +Dom a relu le document DSI minimal et a demande une revision stricte: +- ne pas mentionner Lea, mais "agent"; +- utiliser Dominique Bazin, pas Dom; +- ne pas citer OpenVPN, garder "VPN/acces distant valide DSI" generique; +- supprimer le perimetre fonctionnel et toute mention couverte par la convention signee; +- rester strictement technique; +- expliciter l'acces dashboard et l'administration systeme. + +Document revise: +- Markdown: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.md` +- Word: `docs/POC/PREREQUIS_DSI_DGX_SPARK_2026-06-01.docx` + +Controle Codex: +- DOCX valide; +- 13 tableaux; +- aucun "Lea/Léa", "Dom", "OpenVPN", "perimetre/périmètre", "TIM", "3 mois" dans le texte extrait; +- LibreOffice absent dans l'environnement, donc pas de rendu PDF visuel local. + +Pour tes audits POC, considere cette version comme la base DSI courte et technique.